注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

理解下一代防火墙:NG Firewall  

2014-01-12 11:39:54|  分类: xtables应用 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
  下一代防火墙概念的理解:下一代防火墙是一个平常的概念,随着互联网技术的发展,未来还会"新的下一代防火墙"的概念。那里的“下一代防火的性能将更加丰富。现在很多厂家将下一代防火墙作为一概念来推广,多少有点混沌大家关于防火墙的理解。在笔者看来,下一代防火墙就是传统的防火墙加上应用层的防火墙的一个多功能组和体。
 
理解下一代防火墙:NG Firewall - itoedr - itoedr的it学苑
注:iso的模型中,应用层位于7层结构的最上层
        传统防火墙发展于快十年以前,那时的芯片技术与算法的高效性已与现在的技术已大不一样。在性能负载上讲,传统防火墙主要是针对转发的报文进行过滤处理,不需要实现据流在防火墙设备中进行自然语文言的复原重组,所以对硬件的处理性能要求不高。但要实现对报文的复原重组,特别是数以千计的用户的报文复原,对防火墙的处理性能要求之高,与传统防火墙比较应该上升到几乎近十倍的需求。
  另外,从软件核心方面,以netfilter的下一代防火墙框架(以nettables以代表)的形成也为下一代防火墙的产生提供了条件。实际上,我们可以在这一代netfilter的构架找到应用的处理模块l7-protocols:
理解下一代防火墙:NG Firewall - itoedr - itoedr的it学苑
 在netfilter的体系中的应用层处理模块
   而且在一本台湾朋友写的书《linux网络安全技术与实现》中,也很仔细地分析了第7层报文(即对IP报文承载的内容进行处理)过滤处理原理。l7模块通过一个缓冲区将应用报文进行原始化重组形成一定自然语言片段(对不同的民族语言,要实现分别的识别,可以想到这个模块需要承担什么样的负载),l7模块对这个重组出来的自然语言片段进行过滤识别,然后告诉包过滤进程是不是对对就的语言报文通行或阻断或改写。
    
理解下一代防火墙:NG Firewall - itoedr - itoedr的it学苑
下一代防火墙的结构
         以下是百度知识中关于下一代防火墙的解说:
   下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。
*******************************************
下一代防火墙简介
*******************************************
         2009年,著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。由于采用的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。
         Gartner将网络防火墙定义为在线安全控制措施,即:可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性,以应对业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。

*******************************************
下一代防火墙应具备的属性
*******************************************

下一代防火墙需具有下列最低属性:
::支持在线BITW(线缆中的块)配置,同时不会干扰网络运行。
::可作为网络流量检测与网络安全策略执行的平台,并具有下列最低特性:
1)标准的第一代防火墙功能:具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等。
2)集成式而非托管式网络入侵防御:支持基于漏洞的签名与基于威胁的签名。IPS与防火墙间的协作所获得的性能要远高于部件的叠加,如:提供推荐防火墙规则,以阻止持续某一载入IPS及有害流量的地址。这就证明,在下一代防火墙中,互相关联作用的是防火墙而非由操作人员在控制台制定与执行各种解决方案。高质量的集成式IPS引擎与签名也是下一代防火墙的主要特性。所谓集成可将诸多特性集合在一起,如:根据针对注入恶意软件网站的IPS检测向防火墙提供推荐阻止的地址。
3)业务识别与全栈可视性:采用非端口与协议vs仅端口、协议与服务的方式,识别应用程序并在应用层执行网络安全策略。范例中包括允许使用Skype但禁用Skype内部共享或一直阻止GoToMyPC。
4)超级智能的防火墙: 可收集防火墙外的各类信息,用于改进阻止决策,或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。
支持新信息流与新技术的集成路径升级,以应对未来出现的各种威胁。

*******************************************
下一代防火墙应用
*******************************************
       下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报,如:使用Web邮件、anonymizer、端到端或计算机远程控制等。仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求。细粒度策略会要求仅阻止发向其它允许目的地的部分类型的应用通讯,并利用重新导向功能根据明确的黑名单规则使其无法实现该通讯。这就意味着,即使有些应用程序设计可避开检测或采用SSL加密,下一代防火墙依然可识别并阻止此类程序。而业务识别的另外一项优点还包括带宽控制,例:因为拒绝了无用或不允许进入的端到端流量,从而大幅降低了带宽的耗用。
仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络的来临,下一代防火墙的应用已然是不可抗拒的趋势,有理由相信到2014年年末使用这一产品进行保护的比例将上升至35%,同时,其中将有60%都为重新购买下一代防火墙。
  大型企业都将随着正常的防火墙与IPS更新循环的到来逐渐采用下一代防火墙代替其现有的防火墙,或因带宽需求的增高或遭受了攻击而进行防火墙升级。许多防火墙与IPS供应商都已升级了其产品,以提供业务识别与部分下一代防火墙特性,且有许多新兴公司都十分关注下一代防火墙功能。Gartner的研究报告说明,认为随着威胁情况的变化以及业务与IT程序的改变都促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品。而下一代防火墙的供应商们成功占有市场的关键则在于需要证明第一代防火墙与IPS特性既可与当前的第一代功能相匹配,又能同时兼具下一代防火墙功能,或具有一定价格优势。
  评论这张
 
阅读(113)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017